НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Электронная подпись по доверенности?

Иван Агапов
25.07.2013 17:03:41

Недавно в кругу коллег обсуждали достаточно интересную и, признаться, распространенную ситуацию, когда директор компании передает секретарю свой токен с электронной подписью, чтобы тот подписывал исходящие электронные документы в сервисе межкорпоративного документооборота. Подписание документов от лица директора его заместителем или секретарем – дело вполне житейское, особенно, в России. Наш российский руководитель редко сидит долго за компьютером.

Электронная подпись, кажется, органично вписывается в эту практику, если не брать в расчет, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата ЭП и идентифицирует только его. Иначе как приравнять электронную подпись к собственноручной? Если проводить параллель с обычным автографом, то, получается, его владелец передает другому человеку собственную руку. Именно «собственноручность» является определяющим фактором доверия к ЭП!

Другой вопрос – безопасность. Формально, при передаче другому лицу тайна ключа нарушается, и невозможность подделки электронного документа и электронной подписи автоматически ставится под сомнение. Получается, что передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа ЭП. А это уже основание для отзыва сертификата.

Проблема ли это для тех организаций, в которых часто приходится визировать документы без участия директора? В том-то и дело, что… нет!

Во-первых, в законодательстве совершенно не регламентирован порядок передачи ЭП для использования третьими лицами. Для России это означает примерно следующее: «делай, что хочешь». Забавный факт: в некоторых компаниях даже выпускают внутренний приказ, передающий право подписи ЭП за директора третьему лицу. Это даже придает определенной уверенности.

Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. Человеческий фактор, к сожалению, никак не исключить.

В-третьих, обращаемся к самому ФЗ 63 «Об электронной подписи», статья 10:

При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
<…>
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

Это практически дословно дублируются в регламентах Удостоверяющих центров. То есть, тут нет фактического запрета на передачу закрытого ключа кому-то другому. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя. Правда и совершенно не понятно, что делать, если подпись будет обнаружена не там – как доказать в суде, что это не директор подписал? Фактически определить, кто воспользовался подписью в этом случае нельзя - и прицнип неотказуемости сработает на полную катушку.

Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда.

Ну и, конечно, ждем распространения решений КриптоПро на мобильных платформах, когда начнут появляться iOS- и Android-клиенты сервисов ЭДО. Есть чувство, что ждать осталось не долго. Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов.

Комментариев: 24

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

26.07.2013 02:27:58

Все это довольно странно. При чем тут КриптоПро и прочие дела?
Речь идет об элементарных правилах нарушения нормативно-законодательных правил. Секретарь не имеет права подписывать документы за начальника. Если он (секретарь) это делает, то это означает, что начальника можно просто уволить, и оставить вместо него секретаря.

Странный совет "оставить все, как есть"...

26.07.2013 10:19:42

Получается, что в подобной ситуации рукописная подпись надежнее электронной? Ведь если секретарь попытается своей рукой "нарисовать" подпись, похожую на директорскую (пусть и с неформального его согласия), то экспертиза в суде этот факт установит. А при использовании токена в таком случае "посадят" директора, а не секретаря. Что, впрочем, будет справедливо. smile;)

26.07.2013 10:41:35

Нет, электронная подпись надежнее -- ее нельзя подделать, в отличие от бумажной. А если директор отдает свой ключ другому, то он и должен отвечать за это.

26.07.2013 10:50:35

Виновным будет секретарь в любом случае, потому что это подделка подписи.
Вот если секретарь на основании внутреннего приказа будет иметь право подписи определенных видов документов - это совсем другой коленкор.

Вообще я уже который раз читаю на pcweek (причем, по ощцщениям от представителей одной компании). Идеи по "ускорению и автоматизации" подписи. Ведь бред же!
Если количество документов таково, что ответсвенное лицо не имеет возможности их согласовывать (т.е. не просто "подмахнуть", а проверить и заверить факт этой проверки), то надо думать

  • о сокращении числа документов
  • о выделении людей и делегировании им части полномочий именно чтобы разгреебать эти завалы


Например для того же сокращения числа докумнтов придуманы уже десятки "доэлектронных" методик. Тот же реестр счетов: вместо подписания каждого счета бухгалтер/финдиректор подписывает группу счетов (согласуюя только общую сумму).

26.07.2013 11:21:11

По поводу ответственности согласен - тут виноваты все, степень виновности установит суд...

Собственно, мне тоже странно, что ECM-спецы призывают узаконить и автоматизировать нарушения закона. Если директор перепоручает секретарю свою работу, то это означает, что в этом компании не все в порядке с управлением компанией. Нужно разбираться со схемами управления.

Кстати, о директоре и секретаре. Это нормально, что секретарь (именно помощник-референт) является доверенным лицом директора. Достаточно посмотреть на историю...

А вот конкретный пример. У Директора 1С еще в середине 90-х (может быть и ранее), был личный секретарь... А потом именно он (она) стал одним из трех (сейчас именно так) руководителей (включая Директора) фирмы с правом подписи...

26.07.2013 11:36:43

Цитата
Собственно, мне тоже странно, что ECM-спецы призывают узаконить и автоматизировать нарушения закона

А это вообще какой-то бич российского консалтинга.
Вместо того, чтобы предлагать оптимизации процессов, предпочитают реализовывать "как есть". Возможно это более изощренный вариант "автоматизировать там, где можно больше написать кода/продать лицензий, чем там где автоматизация будет иметь больший экономический эффект".

Впрочем последнее это отдельная больная тема - как посчитать эффект.

26.07.2013 12:27:33

Вы думаете - это бич консалтинга?!
Мне кажется на оборот - нашего бизнеса, с учетом нашего законодательства и прочего.
Думаете, бизнесу не предлагается сделать "правильно", "эффективно"? Что-то верится в это с трудом.
До сих пор нет нормального доверия к электронным технологиям, в частности, к ЭП.
Знаю, много крупных компаний, где все отчеты формируются в электронном виде, но потом распечатываются и согласуются только на бумаге, т.к. у руководителей нет доверия к ЭП.
А "нарушать" наше законодательство бизнес иногда просто вынужден.
Хорошего решения, который примет бизнес, сейчас просто нет.
Даже у нас 3 зама, принимают только бумагу, т.к. финансовая ответственность очень большая, как следствия финансовые риски в т.ч.

26.07.2013 12:29:37

Цитата
Вы думаете - это бич консалтинга?!

Не думаю - знаю.

26.07.2013 12:33:54

Ну вам, как разработчику, видимо виднее. Спасибо за сильный ответ-аргумент.

26.07.2013 14:03:37

Цитата
Ну вам, как разработчику, видимо виднее

Иенно так.
Компания, в которой я некоторое время назад работал, долгое время в принципе отказывалась от предложений от постановки процессов документооборота, честно мотивируя это отсутствием нужных компетенций.

Можете также поинтересоваться у ближайших к вам консультанотов, внедряющих документооборот, имеют ли они профильно образование или хотябы имеют в штате дипломированного специалиста по делопроизводству. Уверен, вы сделаете не мало неожиданных открытий (приятных или нет, решать вам самому).

26.07.2013 14:08:31

Отсутствие компенсаций у отдельно взятой компании, возможно да.

Но, я говорю о примерах, когда мы обращаемся к крупным консалтинговым компаниям, в том числе с европейским опытом. Они предлагаю оптимизацию, использование современных технологий, инструментов. Но бизнес к этом не готов. Они просят, сделайте так, как есть, адаптируйте под текущие процессы. И так не только у нас, я общаюсь со знакомыми в других компаниях.

26.07.2013 14:12:02

Хорошо, согласен, правильнее будет сказать - "бич обеих сторон".

26.07.2013 13:58:55

То есть, всю эту лавину текста о том, что передавать ЭП третьим лицам - неправильно, вы прочитали, как "призыв к нарушению закона"? С учетом, что в законе как раз на этот счет большая дыра.

12.08.2013 18:06:56

Цитата
Собственно, мне тоже странно, что ECM-спецы призывают узаконить и автоматизировать нарушения закона.


Расстрою Андрея и Михаила - я НЕ призываю нарушать закон и тем более автоматизировать данные нарушения! Я всегда и везде пишу, что законодательство надо соблюдать!
Господа, читайте внимательнее - "Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда." - вариант "оставить всё как есть" явно обозначен как плохой! Да, я про него пишу, НО не потому, что я его рекомендую, а потому, что он к сожалению был, есть и будет, вне зависимости от нашего с вами желания!

26.07.2013 19:00:08

Виноват, конечно, секретарь. Но как доказать, что это именно он подделал подпись?

27.07.2013 15:44:11

По косвенным признакам.
Времени простановки подписи (директор не мог это сделать физически в тот момент), машине, на которой производилась подпись или откуда пересылался документ, ...

Наши западные коллеги доказывают достоверность документов безо всяких ЭЦП уже 10 лет. А мы все придумываем себе "новые, ранее невиданные способы использования цифровой подписи".

28.07.2013 18:12:33

Я об этом уже несколько лет пишу, уже надоело повторяться. Но наши СЭД-поставщики продолжаются "разводить" клиентов, продвигая идеи ЭЦП.

26.07.2013 12:35:27

У меня тоже вопрос к автору, что делать-то сейчас? Нельзя оставлять все как есть, для меня такой ответ, просто означает смириться.

26.07.2013 13:53:33

На мой взгляд, все просто - в резюме предложено три варианта:
- оставить как есть (пока не станет плохо)
- приобрести дополнительный сертифкат уполномоченному лицу
- быть всегда на связи
Все эти варианты вполне жизнеспособны и не пахнут смирением. Главное в этой статье - факт того, что сейчас использование ЭП лишь на начальном этапе своего становления и многие процессы за их новизной неупорядочены и нет "золотых" практик.

12.08.2013 18:14:20

Павел,
я рекомендую два основных варианта:
1. Дополнительно уполномочить для подписания определённых документов сотрудников компании (например, замов) и приобрести им сертификаты ЭП.
2. Решить задачу мобильности уполномоченных для подписания документов лиц, тогда они смогут подписывать документы из любой точки.

Про вариант "оставить как есть..." я пишу, НО его НЕ рекомендую! Пишу, т.к. он в российских компаниях был, есть и ещё будет, отчасти это связано с отсутствием прямых санкций (в зак-ве об ЭП) за нарушения и с малым количеством негативных примеров такого "поведения".

26.07.2013 13:52:34

>>>>Речь идет об элементарных правилах нарушения нормативно-законодательных правил.

Судя по посту, речь идет о распространенной ситуации в российских компаниях. В том-то и дело, что "оставить как есть" действительно можно - нет прямых противоречий. Но это не означает, что так правильно.

Ну и никто же не говорит, что руководитель вообще не визирует документы перед тем, как они будут подписаны ЭП.

28.07.2013 10:37:00

Если говорить о внутренних процессах организации (визирование) - они не имеют никакого значения для внешнего контрагента.

28.07.2013 10:39:57

"Странный совет "оставить все, как есть"... "

Причина - архитектурный просчет. В идеале Система технически не должна позволять "подпись за того парня".

А любой архитектурный просчет можно лишь пытаться нивелировать костылями.

12.08.2013 18:23:40

Информационная система авторизует пользователя различными способами.
Один из применяемых способов это авторизация по сертификату ЭП и если директор сам добровольно передал другому лицу свой сертификат ЭП вместе с пин-кодом, то определить это для системы становится очень сложно/не возможно.
Можно ввести дополнительно авторизацию по отпечаткам пальцев и сетчатке глаза, но на это пока не пойдут ни вендоры, ни пользователи.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии